安全内参 │ 美国政府通过漏洞披露计划修复上千个漏洞，强制漏洞披露成为最佳实践

2023年8月31日01:11:06评论31 views字数 1626阅读5分25秒阅读模式

CISA在2021年7月推出了漏洞披露政策（VDP）平台。日前，CISA发布有关漏洞披露政策平台的首份报告。报告数据显示，迄今为止，平台已有40多项机构漏洞披露计划。

截至2022年12月，研究人员向平台上报了1300多个“已验证”漏洞。相关机构已修复了84％的上报漏洞，平均修复时间为38天。

在这份报告中，CISA“敦促联邦民事行政部门（FCEB）审查漏洞披露政策平台2022年度报告，鼓励他们开始使用该平台，促进善意的安全研究。该平台会向安全研究人员的公共社区，推广各机构的漏洞披露政策，利用研究人员的专业知识来搜索和检测传统扫描技术可能无法发现的漏洞，从而使用户受益。”

CISA在2020年9月发布了一项具有约束力的操作指令，要求机构制定并发布漏洞披露政策，允许对所有可通过互联网访问的系统或服务进行善意的安全研究。CISA还指示机构建立接受报告、传达发现、修复漏洞的渠道。

此前，CISA发现许多机构缺乏漏洞披露的正式机制，为此建立了共享的漏洞披露政策平台服务。该平台由安全众测厂商Bugcrowd和联邦技术供应商EnDyna支持。

CISA报告称，在1300多个被确认为有效披露的漏洞中，有192个是最危险的“关键”漏洞，82个是“严重”漏洞，757个是“中等”漏洞，299个是“低级/信息性”漏洞。

CISA在其报告中认为，漏洞披露政策平台帮助机构“显著节约了成本和时间”。IBM和Ponemon研究所研究发现，2022年数据泄露的平均成本为435万美元。

CISA写道：“无论是否被发现，这些漏洞都存在于联邦民事行政部门的系统中。通过漏洞披露政策平台披露、由机构修复的漏洞越多，正面影响就越大。”

在CISA漏洞披露政策平台下，机构可以自愿选择是否提供漏洞赏金，即专门向研究人员支付漏洞发现费用。CISA报告称，作为一种经济报酬，漏洞赏金“意在吸引顶尖研究人员”。

强制漏洞披露已成为最佳实践

美国国土安全部推出了“黑掉国土安全部”漏洞赏金计划，鼓励研究人员检测13个国土安全部系统是否存在漏洞。迄今为止，研究人员发现了235个漏洞，包括40个“关键”漏洞。为此，国土安全部向这些研究人员支付了高达329900美元的赏金。

2021年底，当开源软件Log4j漏洞席卷全球时，国土安全部启动了一个单独的漏洞赏金计划，鼓励查找该部门网络中任何关键漏洞实例。CISA在其报告中称，Log4j的例子展示了“漏洞披露政策平台的灵活性”，同时“为其他机构应对未来的普遍漏洞铺平了道路”。

漏洞披露政策平台是CISA网络安全共享服务办公室向联邦机构提供的第一项服务。CISA预测，当2024财年结束时，自愿采用其网络安全共享服务的机构数量将“大幅增加”。

美国共和党众议员，众议院监督与问责委员会网络安全、信息技术和政府创新分委员会主席Nancy Mace提出立法，要求联邦承包商也采用与联邦机构一致的漏洞披露政策，推动CISA的漏洞披露政策平台应用取得进展。

Nancy Mace在一份声明中说：“通过强制要求联邦承包商制定漏洞披露政策，我们可以确保采取积极的网络安全方法，使承包商能够及时识别和解决软件漏洞。”

漏洞披露越来越被视为网络安全最佳实践。2020年，美国管理与预算办公室制定了一项针对所有政府机构的政策，确保道德黑客可以报告面向公共系统的漏洞，而不必担心报复，并保证机构有能力解决这些漏洞。

前美国联邦首席信息安全官Grant Schneider说，“漏洞披露政策计划的成本相当低。我认为，它比其他许多可以投入网络安全预算的项目更具成本效益。”

2016年，美国国防部推出了名为“黑掉五角大楼”的重大漏洞赏金计划，成为第一个采用漏洞披露的机构。国防部已开展自愿试点项目，将部分国防承包商也纳入其漏洞披露计划。

参考资料：federalnewsnetwork.com

原文始发于微信公众号（奇安信集团）：安全内参 │ 美国政府通过漏洞披露计划修复上千个漏洞，强制漏洞披露成为最佳实践

法国政府称遭遇空前密集网络攻击